HOT TIP №1
Кодируйте ввод пользователя перед тем, как вывести его на страницу – или куда-нибудь ещё!
ЯЗЫК: C#
ВЕРСИИ ASP.NET: 1.0 | 1.1
АВТОР: Jeff Prosise, http://www.aspnetpro.com/
ПЕРЕВОД: hDrummer
Превратите «плохой» ввод пользователя в «хороший», чтобы предотвратить взлом вашего веб-сервера.
Перед вами простая ASP.NET веб-страница – одна из тех, что показывают персонифицированное приветствие, состоящее из «Привет» с последующим добавлением имени пользователя, ввеённое им же, в ответ на нажатие кнопки «Нажми меня». Несмотря на свою простоту, страница содержит потенциально фатальную «дырку», с помощью которой могут быть поставлены под угрузу cookie, ваш веб-сервер и даже другие компьютеры, находящиеся за вашим брандмауэром. Найдёти ли вы эту «дыру»?
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
<html>
<body>
<form runat= "server" >
<asp:TextBox ID= "Input" RunAt= "server" />
<asp:Button Text= "Click Me" OnClick= "OnSubmit"
RunAt= "server" />
<asp:Label ID= "Output" RunAt= "server" />
</form>
</body>
</html>
<script language= "C#" runat= "server" >
void OnSubmit (Object sender, EventArgs e)
{
Output.Text = "Hello, " + Input.Text;
}
</script>
Если вы подумали, что «дыра» касается строки, введённой пользователем, ваша мысль верна. Веб-страница никогда, НИ ПРИ КАКИХ УСЛОВИЯХ, не должна использовать необработанный пользовательский ввод. Почему? Потому что в этом случае страница становится восприимчивой к кросс-сайт скриптовым атакам (to cross-site scripting (XSS) attacks). Для демонстрации этого, запустите страницу и наберите следующий текст в поле ввода:
<script>alert('Опачки!')</script>
Нажмите кнопку «Нажми меня» и окно с сообщением появится в вашем браузере. Проблема? Когда вы нажали на кнопку, браузер интерпретировал ввод, как часть кода, которую необходимо выполнить. И если этот скрипт достаточно безвреден, то хакеры могут ввести далеко не такие безвредные скрипты. Даже написав такую простую страницу как эта, нельзя быть уверенным, что все посетители будут использовать её так, как вы задумали. (Заметьте, что если вы используете страницу с ASP.NET 1.1, ва надо будет добавить директиву <%@ Page ValidateRequest="false" %> вверху вашей страницы, чтобы увидеть окно с сообщением.)
Прим. переводчика: Честно говоря после этой поправки лично для меня ценность этого HotTip’a для меня значительно упала, но раз уж начал переводить, доведу дело до конца.
Решение проблемы довольно простое. Перед тем как отображать ввод пользователя на странице, используйте метод Server.HtmlEncode для HTML-кодирования этого ввода. Следующая страница функционально эквивалентна предыдущей, однако, благодаря HTML-кодированию, текст пользователя меняется пред выводом на страницу. Например, символы <> превращаются в < и > - что неприемлемо для XSS-атакующего.
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
<html>
<body>
<form runat= "server" >
<asp:TextBox ID= "Input" RunAt= "server" />
<asp:Button Text= "Click Me" OnClick= "OnSubmit"
RunAt= "server" />
<asp:Label ID= "Output" RunAt= "server" />
</form>
</body>
</html>
<script language= "C#" runat= "server" >
void OnSubmit (Object sender, EventArgs e)
{
Output.Text = "Hello, " + Server.HtmlEncode (Input.Text);
}
</script>
Помните: пользовательский ввод является вредоносным по умолчанию и должен рассматриваться именно с этой точки зрения. Server.HtmlEncode превращает «плохой» пользовательский ввод в «хороший» и, может быть, спасёт ваш веб-сервер от взлома – или чего-нибудь похуже.
